Die spanische Polizei hat Mitte Mai 2026 eine dringende Warnung vor einer neuen Welle von Cyberkriminalität auf den Balearen herausgegeben. Im Zentrum steht das sogenannte QRishing – eine Betrugsmasche mit präparierten QR-Codes. Besonders betroffen sind stark frequentierte Touristenorte auf Mallorca.
Perfide Manipulation im öffentlichen Raum
Die Täter nutzen die Arglosigkeit der Urlauber aus. An belebten Plätzen in Palma und beliebten Küstenorten überkleben sie legitime QR-Codes mit manipulierten Stickern. Diese führen zu digitalen Speisekarten oder Zahlungssystemen für Parkgebühren.
Banking, PayPal oder QR-Codes – wer sein Smartphone im Alltag nutzt, ist ohne speziellen Schutz ein leichtes Ziel für Hacker und Datendiebe. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, mit denen Sie Ihr Gerät sofort absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die gefälschten Aufkleber sind optisch kaum von den Originalen zu unterscheiden. Wer den Code scannt, landet auf einer täuschend echten Kopie offizieller Webseiten. Die Nationalpolizei und die Guardia Civil berichten von einer zunehmenden Professionalisierung der Täter.
Besonders tückisch: Neben Speisekarten und Parkuhren tauchen in den letzten Tagen auch fingierte Strafzettel auf. Diese werden an Mietwagen angebracht und fordern den Fahrer auf, ein vermeintliches Bußgeld per QR-Code zu begleichen. Die Polizei betont: Offizielle Stellen in Spanien fordern niemals Zahlungen ausschließlich über einen spontanen Scan.
Technische Hintergründe und Identitätsdiebstahl
Das Risiko geht weit über den unmittelbaren finanziellen Verlust hinaus. Auf den manipulierten Webseiten werden Nutzer zur Eingabe sensibler Daten aufgefordert: Kreditkartennummern, Bankverbindungen, E-Mail-Adressen und Passwörter. Diese Daten dienen Kriminellen für umfassenden Identitätsdiebstahl oder gezielte Phishing-Angriffe.
In einigen Fällen installiert bereits das bloße Aufrufen der Seite Schadsoftware auf dem Smartphone. Diese Malware späht Zugangsdaten für Online-Banking-Apps aus oder umgeht die Zwei-Faktor-Authentifizierung. Viele moderne Smartphones öffnen Links aus QR-Codes automatisch – das spielt den Tätern in die Karten.
Die Zunahme dieser Delikte hängt auch mit veränderten Gewohnheiten zusammen. Seit der Pandemie hat sich die Nutzung von QR-Codes massiv vervielfältigt. Das Scannen ist zur Routine geworden, die viele ohne kritisches Hinterfragen durchführen.
Die Rolle der Ermittlungsbehörden
Eine spezialisierte Einheit der Guardia Civil in Palma befasst sich intensiv mit digitalen Delikten. Auf Mallorca werden jährlich rund 14.000 Internetdelikte verzeichnet. Die Polizei setzt verstärkt auf Aufklärung über soziale Medien und Informationskampagnen in Urlaubsgebieten.
Ein veraltetes Betriebssystem oder ignorierte Sicherheitsabfragen sind wie eine offene Haustür für Cyberkriminelle, die es auf Ihre Bankdaten abgesehen haben. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie durch die richtigen Updates und Einstellungen Ihr Smartphone rund um die Uhr schützen. Kostenlosen Sicherheits-Ratgeber herunterladen
Die Ermittler stehen vor großen Herausforderungen: Die Hintermänner agieren oft international, die manipulierten Webseiten bleiben nur kurz online. Dennoch konnten in den vergangenen Monaten Erfolge bei der Identifizierung von Netzwerken erzielt werden. Die spanische Nationalpolizei kooperiert eng mit internationalen Sicherheitsbehörden, da gestohlene Daten oft in globalen kriminellen Foren gehandelt werden.
Betroffene bemerken den Betrug häufig erst Tage oder Wochen später, wenn unberechtigte Abbuchungen auf dem Kontoauszug erscheinen. Die Polizei rät, jede verdächtige Aktivität sofort zu melden.
Prävention und Verhaltensregeln
Um sich zu schützen, empfehlen Sicherheitsberater eine Reihe von Vorsichtsmaßnahmen. Der erste Schritt: die haptische Prüfung des QR-Codes. Ein überklebter oder schief angebrachter Sticker ist ein deutliches Warnsignal.
Im Browser sollte stets die vollständige URL geprüft werden, bevor persönliche Daten eingegeben werden. Oft weichen die Adressen der Betrügerseiten nur durch minimale Details ab – ein Buchstabendreher oder eine ungewöhnliche Top-Level-Domain.
Experten raten zu Apps, die eine Vorschau des Links anzeigen, anstatt die automatische Öffnungsfunktion zu nutzen. Wer bereits Daten auf einer verdächtigen Seite eingegeben hat, sollte umgehend die Bank kontaktieren, betroffene Karten sperren lassen und Passwörter ändern. Die Zwei-Faktor-Authentifizierung gilt als wesentlicher Schutzmechanismus.
Kontext der Bedrohungslage
Die aktuelle Situation auf Mallorca verdeutlicht eine breitere Entwicklung: Physische Manipulation und digitale Ausspähung verschmelzen. Tourismusregionen sind prädestiniert für solche Angriffe – die Zielgruppe ist abgelenkt und kennt sich mit lokalen Zahlungssystemen weniger aus.
Der wirtschaftliche Schaden ist zweigeteilt: Opfer erleiden direkte finanzielle Verluste, und das Vertrauen in digitale Dienstleistungen vor Ort wird nachhaltig beschädigt. Die Qualität der gefälschten Webseiten hat ein Niveau erreicht, das selbst Technikaffine herausfordert.
Ausblick auf Sicherheitsstandards
In Zukunft müssen Hardware-Hersteller und Dienstleister reagieren. Betriebssysteme könnten verstärkt Sicherheitsabfragen bei QR-Codes integrieren. Auf Anbieterseite könnten fälschungssichere Codes oder die Integration in digitale Bildschirme zur Standardlösung werden.
Die polizeiliche Arbeit wird sich stärker auf präventive Überwachung konzentrieren müssen. Solange der QR-Code die primäre Schnittstelle zwischen physischer Dienstleistung und digitaler Bezahlung bleibt, ist die Wachsamkeit des einzelnen Nutzers die wichtigste Verteidigungslinie.
